O hacking à cadeia de suprimentos da SolarWinds é um dos mais destrutivos da história. As companhias e organizações que usavam o software de monitoramento de rede Orion podem ter sido vítimas do ataque.
Entre as vítimas confirmadas estão empresas do porte da Microsoft, Malwarebytes e FireEye, além de órgãos governamentais dos EUA como o Departamento de Justiça (DoJ), Departamento de Energia (DoE), National Nuclear Security Administration (NNSA) e Federal Energy Regulatory Commission (FERC).
Segundo Brad Smith, presidente da Microsoft, esse ataque cibernético foi o maior e mais sofisticado visto até hoje. Em entrevista ao programa 60 minutes, afirma:
Quando analisamos tudo o que identificamos, nos perguntamos quantos engenheiros provavelmente trabalharam nessas invasões. A resposta a que chegamos foi, bem, certamente mais de mil.
Além disso, em comunicado, a Microsoft disse: "Infelizmente, o ataque representa uma investida ampla e bem-sucedida com base em espionagem tanto contra informações confidenciais do governo dos EUA quanto às ferramentas de tecnologia usadas pelas empresas para protegê-las. O ataque está em andamento e está sendo ativamente investigado e abordado por equipes de segurança cibernética nos setores público e privado, incluindo a Microsoft [...] Tal como outros clientes da SolarWinds, temos procurado ativamente por indicadores desse ator e podemos confirmar que detectamos binários maliciosos da SolarWinds em nosso ambiente, os quais isolamos e removemos."
Outro que falou sobre o caso foi Arthur Cesar Oreana, executivo da FireEye (primeira empresa a identificar o ciberataque):
No final de 2020, a FireEye descobriu uma campanha de intrusão global, estamos chamando os atores por trás dessa campanha de UNC2452. Também descobrimos um ataque à cadeia de fornecedores de software afetando a solução SolarWinds Orion, que distribuiu um malware que batizamos de Sunburst.
Ciberespionagem: Envolvimento de Hackers Russos
Os serviços de inteligência dos EUA afirmam que a Rússia provavelmente está por trás da violação da SolarWinds.
De acordo com o The Washington Post, os ataques podem ter sido organizados pelo grupo APT29 (também conhecido como Cozy Bear). Os cibercriminosos conseguiram acessar até mesmo e-mails internos de algumas das instituições invadidas. Fontes anônimas afirmam que trojans teriam sido inseridos em uma atualização d0 software Orion. Esse código malicioso (com assinatura da SolarWinds), ao ser instalado pelos clientes, criava um backdoor que dava acesso à infraestrutura de TI das empresas.
Chineses podem ter explorado o mesmo software
Segundo a Reuters, apesar da invasão utilizar o mesmo software de monitoramente de rede Orion, esse ataque não tem relação com o de origem russa. Os dois grupos estariam atuando simultaneamente, mas com técnicas e objetivos distintos.
O FBI está investigando uma possível invasão as agências NFC (National Finance Center) e USDA (Departamento de Agricultura dos EUA).
A China, assim como a Russia, negam responsabilidade e dizem condenar ações de ciberespionagem.
EProteja seu futuro. Invista em cibersegurança hoje mesmo.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
